Lors du processus de configuration de l'annuaire Workspace ONE Access, vous pouvez sélectionner les attributs utilisateur à synchroniser entre votre annuaire d'entreprise et l'annuaire Workspace ONE Access. Gérez la liste des attributs utilisateur sur la page Paramètres > Attributs utilisateur de la console Workspace ONE Access.

Attributs par défaut

La page Attributs utilisateur répertorie les attributs d'annuaire Workspace ONE Access par défaut pouvant être mappés aux attributs de l'annuaire Active Directory ou LDAP.

Vous pouvez sélectionner les attributs obligatoires et facultatifs. Les attributs marqués obligatoires doivent être renseignés pour tous les enregistrements utilisateur synchronisés. Les enregistrements utilisateur pour lesquels la valeur est manquante pour les attributs obligatoires ne sont pas synchronisés avec Workspace ONE Access. Gardez également à l'esprit que vous ne pouvez marquer que les attributs obligatoires avant la création d'un annuaire dans le service Workspace ONE Access. Une fois l'annuaire créé, vous ne pouvez plus rendre un attribut obligatoire.

Le tableau suivant répertorie les attributs qui comportent des mappages par défaut aux attributs Active Directory. Vous pouvez mettre à jour les mappages lorsque vous créez l'annuaire Workspace ONE Access.

Tableau 1. Attributs par défaut à synchroniser avec l'annuaire Workspace ONE Access
Nom d'attribut de l'annuaire Workspace ONE Access Mappage par défaut vers l'attribut Active Directory
userPrincipalName userPrincipalName
domaine canonicalName

Ajoute le nom de domaine complet de l'objet.

disabled (utilisateur externe désactivé) userAccountControl. Marqué d'un indicateur UF_Account_Disable.

Lorsqu'un compte est désactivé, les utilisateurs ne peuvent pas se connecter pour accéder à leurs applications et à leurs ressources. Comme les ressources attribuées aux utilisateurs ne sont pas supprimées du compte, lorsque l'indicateur est supprimé du compte, les utilisateurs peuvent se connecter et accéder aux ressources qui leur sont attribuées.

distinguishedName distinguishedName
E-mail mail
employeeID employeeID
Prénom givenName
Nom sn
sourceAnchor objectGUID
Téléphone telephoneNumber
Nom d'utilisateur sAMAccountName

Attributs personnalisés

Sur la page Attributs utilisateur, vous pouvez également entrer des attributs supplémentaires à synchroniser avec l'annuaire. Lorsque vous ajoutez des attributs, le nom d'attribut que vous entrez est sensible à la casse. Par exemple, adresse, Adresse et ADRESSE sont des attributs différents.

Les attributs suivants ne peuvent pas être utilisés en tant que noms d'attributs personnalisés, car le service Workspace ONE Access utilise ces attributs en interne pour la gestion des identités utilisateur.

Tableau 2. Attributs qui ne peuvent pas être utilisés comme noms d'attributs personnalisés
active externalId locale phoneNumbers timezone
addresses externalUserDisabled meta photos title
displayName groupes name preferredLanguage userName
emails id nickName profileUrl userType
employeeNumber ims mot de passe schemas x509Certificates
Note : Si votre annuaire d'entreprise inclut l'un de ces attributs et que vous devez synchroniser l'attribut avec Workspace ONE Access, créez un attribut personnalisé dans Workspace ONE Access avec un nom différent et mappez-le à l'attribut d'annuaire. Par exemple, pour synchroniser l'attribut employeeNumber de votre annuaire avec Workspace ONE Access, vous pouvez créer un attribut nommé newEmployeeID dans Workspace ONE Access et le mapper à l'attribut employeeNumber lorsque vous créez l'annuaire Workspace ONE Access.

Fonctionnement des attributs

Les attributs indiqués sur la page Attributs utilisateur s'appliquent à tous les annuaires du service Workspace ONE Access. Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur tous les annuaires. Par exemple, si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs requis, excepté l'attribut Username. Si un attribut est marqué obligatoire, les enregistrements utilisateur qui ne contiennent aucune valeur pour cet attribut ne sont pas synchronisés avec le service Workspace ONE Access.

Lorsque vous créez un annuaire, la liste des attributs de la page Attributs utilisateur s'affiche dans la section Mapper des attributs de l'assistant. Vous pouvez spécifier le mappage entre les attributs Workspace ONE Access et les attributs de l'annuaire Active Directory ou LDAP. Lorsque vous créez l'annuaire, vous pouvez afficher et mettre à jour les mappages d'attributs dans l'onglet Paramètres de synchronisation de l'annuaire.

Une fois qu'un annuaire est créé dans le service Workspace ONE Access, vous ne pouvez plus marquer les attributs obligatoires sur la page Attributs utilisateur. Les modifications suivantes apportées aux attributs utilisateur sont toujours autorisées :

  • Ajouter des attributs personnalisés (page Attributs utilisateur)
  • Supprimer les attributs personnalisés (page Attributs utilisateur)
  • Rendre facultatifs les attributs obligatoires (page Attributs utilisateur)
  • Modifier le mappage d'attributs (onglet Paramètres de synchronisation de l'annuaire)

Les modifications apportées et enregistrées sur la page Attributs utilisateur après la création d'un annuaire sont appliquées à l'annuaire à la synchronisation suivante.

Conditions requises importantes

  • Si vous mappez un attribut utilisateur à l'attribut objectGUID ou mS-DS-ConsistencyGuid d'Active Directory, tous les utilisateurs doivent disposer d'une valeur non vide pour l'attribut dans Active Directory et la valeur doit comporter 16 octets précisément. En outre, vous devez mapper l'attribut Workspace ONE Access au nom d'attribut Active Directory correct, en utilisant la casse appropriée. Si les noms d'attributs ne correspondent pas, une valeur nulle est renvoyée et la synchronisation d'annuaire échoue. Par exemple, si vous utilisez l'attribut mS-DS-ConsistencyGuid dans Active Directory et que vous spécifiez ms-DS-ConsistencyGuid dans Workspace ONE Access, la synchronisation d'annuaire ne peut pas réussir.
  • L'attribut sourceAnchor présente les conditions requises suivantes :
    • L'attribut sourceAnchor est sensible à la casse.
    • Vous ne pouvez pas modifier les valeurs d'attributs lorsque les utilisateurs sont synchronisés avec Workspace ONE Access.
    • Les valeurs d'attributs doivent comporter moins de 60 caractères. Les caractères qui ne sont pas a-z, A-Z ou 0-9 sont codés et considérés comme 3 caractères.
    • Les valeurs d'attributs ne doivent contenir aucun caractère spécial : \ ! # $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
    • Si vous mappez l'attribut sourceAnchor à un attribut qui n'est pas de type chaîne, codez les valeurs d'attributs en Base64 pour vous assurer qu'aucun caractère spécial n'apparaît et assurez-vous que les valeurs correspondent au format de codage Microsoft.
    • Si vous mappez l'attribut sourceAnchor à un attribut binaire, assurez-vous que les valeurs respectent le format de GUID approprié.
    • Pour obtenir la liste complète des conditions requises pour l'attribut, reportez-vous à la section Sélection d'un attribut sourceAnchor correct dans la documentation de Microsoft.